LINUX.ORG.RU

Ответ на: комментарий от Ttt

Ну что ты, конечно для личного некоммерческого пользования:)
А если паранойя даёт о себе знать, то посмотри на трафик — я не передаю никакой инфы, позволяющей определить кому какие пароли я отсылаю.

Stahl ★★☆
() автор топика
Ответ на: комментарий от Stahl

Когда я сам придумываю пароль, я могу гарантировать, что даже зная его хэш, никто не узнает этот пароль.

Yareg ★★★
()
Ответ на: комментарий от adriano32

Люди сгенерили пароль, а ты его хеш запомнил и в мемориз!

Нафига мне хеш, если я могу запомнить собственно пароль?

Когда я сам придумываю пароль, я могу гарантировать, что даже зная его хэш, никто не узнает этот пароль.

Допустим существует БД с кучей паролей и их хешей. Откуда я возьму хеш, чтобы подобрать по нему в этой БД гипотетический пароль?
Тут либо очень глупо или очень умно либо я туплю, но пока я плохо понимаю суть проблемы.

Stahl ★★☆
() автор топика
Ответ на: комментарий от Stahl

Я залез на сервак сквозь уязвимость в чём-то, получил доступ на чтение(не на запись) к базе данных с, например, md5 хешами паролей пользователей сайта, самих паролей в открытом виде в базе нет. Захотел под кем-то залезть на сайт, пробил по базе хешей тот хеш который у меня, получил пароль, залогинился, сделал свои грязные делишки, вылез. Пароль юзеру не менял, никто ничего не заметил.

Или спёр в нычку с компа товарища /etc/shadow, менять пароль не хочу-запалят, но зная что товарищ не читает логи, могу залазить когда угодно по ssh. Беру хеш, заряжую поиск по базе хешей, есть пароль, лезу по ssh под его учёткой, затем su (пароль рута у меня тоже условно есть), сделал свои грязные делишки, вылез. Пароль товарищу не менял, логи почистил, никто ничего не заметил.

Уже вижу заголовок сайта : «Самая крупная база хешей паролей владельцев iPod\iPhone! Бесплатно без СМС»

Да уже понятно что у тебя в мыслях подобного не было, но параноики таким пользоваться не будут. Стоит проработать версию для параноиков.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Хм, ясно.
Вот ведь людям заняться нечего. Их бы энергию да в нужное русло.

Stahl ★★☆
() автор топика
Ответ на: комментарий от adriano32

>Уже вижу заголовок сайта : «Самая крупная база хешей паролей владельцев iPod\iPhone! Бесплатно без СМС»
Вы просто не умеете готовить хэш. Все ж знают, что перед хэшированием пароль надо посолить.

Tark ★★
()
Ответ на: комментарий от adriano32

Стоит проработать версию для параноиков.


Была мысль слинковать всё вместе, но тогда остро встанет вопрос про обновления. Так я сервак подрехтовал и всем хорошо, а в локальной версии как?
Я яблочного аккаунта не имею — через знакомого провернул.
Дёргать его на каждый апдейт как-то неудобно.

Stahl ★★☆
() автор топика
Ответ на: комментарий от Tark

Все ж знают, что перед хэшированием пароль надо посолить.
Посолить? Возможно. Я всегда посолить маму прошу, я только когда сильно пересолено чувствую. А так обычно не досаливаю когда приходится есть готовить.

Точку зрения параноиков я хоть примерно, но изложил. Сам параноик.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

>Посолить? Возможно. Я всегда посолить маму прошу, я только когда сильно пересолено чувствую. А так обычно не досаливаю когда приходится есть готовить.
Я про то, что если есть база паролей, то в ней ведь хэши для паролей, а не для пароль+соль. Для второго варианта будут совсем другие хэши.

Tark ★★
()
Ответ на: комментарий от adriano32

Прошу прощения, это так тонко, что тут вступает в дело дифракция.

Tark ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.